Bekanntmachungen der Datenschutzbehörde
Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln
Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO werden von der Europäischen Kommission erlassen und können bei Fehlen eines Angemessenheitsbeschlusses iSd. Art. 45 DSGVO als geeignete Garantien – ggf. unter Ergänzung zusätzlicher Maßnahmen – für die Übermittlung personenbezogener Daten an Empfänger in Drittländern herangezogen werden.
Die Europäische Kommission hat am 4. Juni 2021 mit Durchführungsbeschluss (EU) 2021/914 „neue“ Standarddatenschutzklauseln erlassen. Gemäß dessen Art. 4 Abs. 2 und Abs. 3 wurden die auf Basis der ehemaligen Richtlinie 95/46/EG mit Entscheidung 2001/497/EG und Beschluss 2010/87/EU erlassenen Standardvertragsklauseln mit Wirkung vom 27. September 2021 aufgehoben und können gemäß Art. 4 Abs. 4 auf vor diesem Zeitpunkt abgeschlossene Vereinbarungen nur mehr bis zum 27. Dezember 2022 herangezogen werden.
Dies hat zur Folge, dass die auf Basis der Richtlinie 95/46/EG erlassenen Standardvertragsklauseln mit Ablauf des 27. Dezember 2022 ihre Gültigkeit zur Gänze verlieren und keine Grundlage für die Übermittlung personenbezogener Daten iSd. Kapitels V der DSGVO mehr darstellen.
Verantwortliche und Auftragsverarbeiter sollten daher prüfen, ob ihre Datenübermittlungen noch auf Grundlage der „alten“ Standardvertragsklauseln erfolgen und – wenn ja – diese durch die neue Version bzw. andere geeignete Garantien ersetzen.
Relevante Dokumente:
Europäische Kommission, Questions and Answers for the two sets of Standard Contractual Clauses
Information der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts, Stand 23. August 2022
Aktuell erhält die Datenschutzbehörde vermehrt Anfragen zum Thema Abmahnungen wegen Google Fonts. Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese aufgefordert werden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch und Vertretungskosten in Höhe von insgesamt EUR 190,00 anzuerkennen und auf ein anwaltliches Konto einzubezahlen. Darüber hinaus werden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben. Dem anwaltlichen Schreiben liegt auch ein Antrag auf Auskunft gemäß Art. 15 Datenschutz-Grundverordnung (DSGVO) bei.
Die Datenschutzbehörde ist für (allfällige) Schadenersatzklagen nicht zuständig. Es wird daher um Verständnis ersucht, dass die Datenschutzbehörde keine Information darüber geben kann, ob Sie den geforderten Betrag zahlen sollen. Diesbezüglich ist eine Kontaktaufnahme mit der Datenschutzbehörde nicht zielführend. Bitte holen Sie im Zweifel rechtliche Beratung ein.
Es wird aber ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.
Zur Klärung des Sachverhalts hat die Datenschutzbehörde zwischenzeitig ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.
Im Folgenden werden allgemeine Informationen zum Antrag auf Auskunft und der Einbindung von Google Fonts zur Verfügung gestellt:
1. Zum Antrag auf Auskunft
Laut den der Datenschutzbehörde vorliegenden Informationen wurde in vielen Fällen auch ein Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt.
Sofern Sie sich entschließen, gemäß Art. 15 DSGVO eine inhaltliche Auskunft zu erteilen, können Sie wie folgt vorgehen:
- Überprüfen Sie zuerst, ob eine Vertretungsvollmacht der betroffenen Person vorliegt. Ein Antrag auf Auskunft an ein Unternehmen des Privatrechts, der durch eine anwaltlich vertretene Person gestellt wird, ist nur gültig, wenn der Anwalt eine entsprechende Vollmacht der vertretenen Person vorlegt (vgl. das Erkenntnis des Verwaltungsgerichtshofs vom 4. Juli 2016, Ra 2016/04/0014, VwSlg. 19411 A/2016).
- Sofern eine Vertretungsvollmacht der betroffenen Person vorliegt, ist zu überprüfen, ob Sie personenbezogene Daten der betroffenen Person zum Antragszeitpunkt gespeichert haben. Laut den der Datenschutzbehörde vorliegenden Informationen wird im anwaltlichen Schreiben zumindest die IP-Adresse der betroffenen Person genannt. Überprüfen Sie daher sorgfältig, ob Sie die IP-Adresse der betroffenen Person gespeichert haben, zB. in Logfiles.
- Sofern Sie die IP-Adresse der betroffenen Person gespeichert haben, ist darüber innerhalb der Regelfrist von einen Monat eine Auskunft gemäß Art. 15 DSGVO zu erteilen. Die Auskunft können Sie an die anwaltliche Vertretung der betroffenen Person übermitteln.
- Sofern Sie, trotz sorgfältiger Recherche, zu dem Ergebnis gelangen, dass Sie die IP-Adresse (und auch sonstige Daten) der betroffenen Person nicht gespeichert haben, ist darüber innerhalb der Regelfrist von einen Monat ebenfalls eine Auskunft, eine sogenannte Negativauskunft gemäß Art. 15 DSGVO, zu erteilen. Diesfalls können Sie folgenden Satz an die anwaltliche Vertretung der betroffenen Person übermitteln: „Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“.
- Bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf. Die Korrespondenz können Sie als Beweismittel in einem allfälligen Verfahren vor Gericht oder vor der Datenschutzbehörde verwenden.
Hinweis: Auch, wenn Sie die Auskunftserteilung unter Hinweis auf Art. 12 Abs. 5 DSGVO ablehnen, müssen Sie der betroffenen Person dies mitteilen (Reaktionspflicht). Darüber hinaus müssen Sie gemäß Art. 12 Abs. 5 DSGVO den „offenkundig unbegründeten oder exzessiven Charakter“ des Auskunftsantrags begründen (Rechenschaftspflicht).
2. Was ist Google Fonts?
Vereinfacht gesagt handelt es sich um ein Verzeichnis mit Schriftarten, die von Google angeboten werden. Die Schriftarten können entweder lokal am eigenen Server hochgeladen werden oder alternativ über einen Google-Server (nach)geladen werden.
Weitere Informationen finden Sie unter:
https://fonts.google.com/about
3. Zur Einbindung von Google Fonts
Die Datenschutzbehörde hat das amtswegige Prüfverfahren gegen Google wegen Google Fonts noch nicht abgeschlossen. Die Datenschutzbehörde kann daher keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt.
Unverbindlich wird jedoch empfohlen, die folgenden technischen Schritte umzusetzen:
- Überprüfen Sie, ob Google-Fonts tatsächlich auf Ihrer Website eingebunden ist.
- Überprüfen Sie, ob Sie Google-Fonts überhaupt benötigen. Oft wird Google-Fonts bei „Website-Baukästen“ standardmäßig eingebunden.
- Sofern Sie Google-Fonts auf Ihrer Website einbinden und benötigen, überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert.
- Wenn Sie technische Expertise besitzen, können Sie zusätzlich überprüfen, ob aufgrund der Einbindung von Google Fonts auf Ihrer Website überhaupt eine Verbindung zu einem Google-Server aufgebaut wird. Dokumentieren Sie ihre Ergebnisse.
Hinweis: Im Internet finden Sich zahlreiche Anleitungen, wie Google Fonts lokal am eigenen Server eingebunden werden kann. Holen Sie im Zweifel technische Unterstützung ein.
Start einer koordinierten Maßnahme betreffend die Nutzung von Cloud basierten Diensten im öffentlichen Sektor
Der 15. Februar 2022 markierte den Start der ersten „koordinierten Maßnahme“ des Europäischen Datenschutzausschusses (EDSA) zum Thema „Nutzung von Cloud-gestützten Diensten durch öffentliche Stellen“.
Im Wesentlichen werden beginnend mit Februar 2022 insgesamt 22 nationale Aufsichtsbehörden (einschließlich des Europäischen Datenschutzbeauftragten) im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor einleiten bzw. haben solche eingeleitet.
Hierbei werden über 80 öffentliche Institutionen, großteils aus den Bereichen Gesundheit, Finanzen, Bildung und öffentlicher Beschaffung, angesprochen. Aufbauend auf der gemeinsamen Vorbereitungsarbeit der teilnehmenden Aufsichtsbehörden – insbesondere wurde gemeinsam ein Fragebogen zu den relevanten Datenschutzaspekten erstellt – sollen auf nationaler Ebene die Herausforderungen öffentlicher Stellen bei einer DSGVO konformen Auswahl und Nutzung von Cloud-basierten Diensten untersucht werden. Vornehmlich werden die notwendigen Prozesse und Sicherheitsvorkehrungen beim Erwerb bzw. Problembereiche im Zusammenhang mit internationalem Datenverkehr, sowie jene Bestimmungen, die die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter regeln, beleuchtet.
Auch die österreichische Datenschutzbehörde beteiligt sich an dieser umfassenden Initiative und es wurde hierzu – in Übereinstimmung mit dem nationalen Verfahrensrecht – ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen eine aus Sicht der Datenschutzbehörde geeignete Institution der öffentlichen (Bundes ) Verwaltung eingeleitet.
Die Ergebnisse werden anschließend zusammengefasst analysiert und mit Ende des Jahres 2022 in einem EWR-weiten Bericht in anonymisierter Form veröffentlicht.
Für weiterführende Informationen darf auf die korrespondierende Pressemitteilung des Europäischen Datenschutzausschusses verwiesen werden:
https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de
Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics
Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.
Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.
Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig.
Bescheid: D155.027 GA (PDF, 907 KB)
Information der Datenschutzbehörde zu den Informationsschreiben betreffend die COVID-19-Schutzimpfung
Derzeit erhalten viele in Österreich pflichtversicherte Personen ein Informationsschreiben betreffend die COVID-19-Schutzimpfung.
Die Datenschutzbehörde prüft gegenwärtig die rechtliche Zulässigkeit des Versandes der Informationsschreiben im Rahmen eines amtswegigen Prüfverfahrens.
Die Datenschutzbehörde weist darauf hin, dass der Versand des Informationsschreibens zulässig sein könnte, insbesondere durch § 750 ASVG.
Gemäß § 750 ASVG ist der Dachverband der Sozialversicherungsträger berechtigt
- Personen und deren anspruchsberechtigte Angehörige, die am 1. März 2021 der COVID-19-Risikogruppe zugeordnet waren, und bis 1. April 2021 noch keine Impfung gegen SARS-CoV-2 erhalten haben, über ihr erhöhtes Risiko, schwer an COVID-19 zu erkranken, und die Möglichkeiten zur Inanspruchnahme der kostenlosen Impfung gegen SARS-CoV-2 zu informieren, sowie
- Personen und deren anspruchsberechtigte Angehörige, die bis 22. November 2021 noch keine Impfung gegen SARS-CoV-2 erhalten haben, über das Risiko, schwer an COVID-19 zu erkranken, und die Möglichkeiten zur Inanspruchnahme der kostenlosen Impfung gegen SARS-CoV-2 zu informieren.
Ergibt das amtswegige Prüfverfahren, dass der Versand der Informationsschreiben von dieser oder einer anderen gesetzlichen Bestimmung gedeckt ist, ist mit der Abweisung einer Beschwerde zu rechnen.
Informationen zu Auskunftsbegehren an die Datenschutzbehörde
Die Datenschutzbehörde erhält derzeit eine hohe Anzahl an Auskunftsbegehren infolge der Versendung von Informationsschreiben zur COVID-19-Schutzimpfung.
Die Datenschutzbehörde speichert Ihre personenbezogenen Daten nur dann, wenn Sie mit der Datenschutzbehörde in Kontakt treten. Wenn Sie mit der Datenschutzbehörde bislang noch nicht in Kontakt waren, wird Ihnen die Datenschutzbehörde mitteilen, dass keine Daten zu Ihnen verarbeitet werden („Negativauskunft“).
Die Datenschutzbehörde weist darauf hin, dass sie keine Kenntnis über die Datenverarbeitung anderer Stellen hat.
Soweit Sie daher eine Auskunft über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Erhalt eines Informationsschreibens zur COVID 19-Schutzimpfung begehren, müssen Sie sich an die jeweilige Stelle, die das Informationsschreiben versandt hat, wenden.